ГлавнаяБаза уязвимостей БДУ → BDU:2019-04539
7.5критическая

BDU:2019-04539 (CVE-2019-5482)

Уязвимость функции tftp_receive_packet библиотеки libcurl, связанная с переполнением буфера в памяти, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2019-12-10
Описание

Уязвимость функции tftp_receive_packet библиотеки libcurl связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Enterprise Manager Ops Center (12.3.3)Astra Linux Special Edition (1.6 «Смоленск»)Fedora (29)HTTP Server (12.2.1.3.0)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Fedora (30)Debian GNU/Linux (8)Enterprise Manager Ops Center (12.4.0)Debian GNU/Linux (10)Fedora (31)Libcurl (от 7.19.4 до 7.65.3 включительно)РЕД ОС (до 7.2 Муром)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Oracle Communications Session Border Controller (8.3)MySQL Server (до 8.0.18 включительно)HTTP Server (12.2.1.4.0)Communications Operations Monitor (3.4.0)Communications Operations Monitor (4.0.0)Communications Operations Monitor (4.1.0)Communications Operations Monitor (4.2.0)Communications Operations Monitor (4.3.0)OSS Support Tools (20.0)MySQL Server (до 5.7.28 включительно)Hyperion Essbase (11.1.2.4)Oracle Communications Session Border Controller (8.4)MySQL Cluster (от 7.3.0 до 7.3.30 включительно)MySQL Cluster (от 7.4.0 до 7.4.29 включительно)MySQL Cluster (от 7.5.0 до 7.5.19 включительно)
Способ устранения

Использование рекомендаций:
Для Libcurl:
https://curl.haxx.se/docs/CVE-2019-5482.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6CI4QQ2RSZX4VCFM76SIWGKY6BY7UWIC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGDVKSLY5JUNJRLYRUA6CXGQ2LM63XC3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UA7KDM2WPM5CJDDGOEGFV6SSGD2J7RNT/

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00048.html
https://lists.opensuse.org/opensuse-security-announce/2019-09/msg00055.html

Для РЕД ОС:
Обновление операционной системы до версии 7.2 Муром

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuapr2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для Debian:
Использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-5482

Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОС ОН «Стрелец»: https://strelets.net/patchi-i-obnovleniya-bezopasnosti#kumulyativnoe-obnovlenie

Для ОС ОН «Стрелец»:
Обновление программного обеспечения curl до версии 7.52.1-5+deb9u16

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2019-09/msg00048.htmlhttp://lists.opensuse.org/opensuse-security-announce/2019-09/msg00055.htmlhttps://curl.haxx.se/docs/CVE-2019-5482.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/6CI4QQ2RSZX4VCFM76SIWGKY6BY7UWIC/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RGDVKSLY5JUNJRLYRUA6CXGQ2LM63XC3/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/UA7KDM2WPM5CJDDGOEGFV6SSGD2J7RNT/https://nvd.nist.gov/vuln/detail/CVE-2019-5482https://security.netapp.com/advisory/ntap-20191004-0003/
Проверьте безопасность своего сайта и почты → Полная проверка домена